ربات‌های جاروبرقی در آمریکا نژادپرستی می‌کنند پس از کنترل هکرها

در یک حادثه‌ای عجیب و ترسناک، ربات‌های جاروبرقی در چندین شهر آمریکا به صورت راه‌دور هک شدند و مهاجمان از بلندگوهای صوتی دستگاه‌ها برای پخش الفاظ نژادپرستانه در برابر صاحبان آنها استفاده کردند.

وکیل مینه‌سوتی، دانیل سوئنسن، متوجه شد ربات او در حالی که تلویزیون تماشا می‌کرد، صداهای عجیبی شبیه به سیگنال‌های خراب تولید می‌کند. از طریق اپلیکیشن Ecovacs او کشف کرد که فردی ناشناس در حال دسترسی به فید زنده دوربین و کنترل ربات به‌طور راه‌دور است. با فرض اینکه این یک اشکال است، سوئنسن رمز عبور خود را بازنشانی کرد و ربات را راه‌اندازی مجدد کرد. ربات به سرعت دوباره شروع به حرکت کرد و با بلندگوی خود الفاظ نژادپرستانه‌ای را در حضور پسر سوئنسن پخش کرد.

ربات‌های مورد هک همگی متعلق به تولیدکننده چینی Ecovacs هستند. جالب اینجاست که مدلی به نام Deebot X2s که به تازگی توسط ABC News هک شده بود تا یک ضعف امنیتی مهم را فاش کند.

سوئنسن حدس زد که این کار توسط یک نوجوان صورت گرفته که با جابه‌جایی بین دستگاه‌ها قصد اذیت خانواده‌ها را داشته است. پس از حادثه دوم، او ربات را برای همیشه خاموش کرد.

گزارش‌های مختلف از حوادث

افراد زیادی در سراسر ایالات متحده گزارش داده‌اند که حوادث مشابهی در روزهای نزدیک به هم رخ داده است. در تاریخ ۲۴ ماه مه، در همان روزی که دستگاه سوئنسن دچار اختلال شد، یک Deebot X2 دچار اختلال شده و سگ صاحب خود را در خانه‌ای در لس‌آنجلس دنبال کرد. این ربات به‌طور راه‌دور کنترل می‌شد و از طریق بلندگوهای آن نظرات توهین‌آمیزی منتقل می‌شد.

دیر هنگام شب، یک ربات جاروبرقی Ecovacs در ال پاسو شروع به پخش الفاظ نژادپرستانه در برابر صاحب خود کرد تا زمانی که خاموش شد. تعداد کل دستگاه‌های هک‌شده از این شرکت هنوز مشحص نیست.

این مشکل در دسامبر گذشته وقتی کارشناسان تلاش کردند که Ecovacs را در مورد مسائل امنیتی جدی در ربات‌های جاروبرقی و اپلیکیشن مربوطه آن‌ها هشدار دهند، آشکار شد. بحرانی‌ترین مسئله یک اشکال در اتصال بلوتوث بود که از فاصله بیش از ۱۰۰ متری دسترسی کامل به Ecovacs X2 را فراهم می‌کرد. سیستم کدپین که قرار بود فید ویدئویی و ویژگی کنترل راه‌دور ربات را امن کند نیز معیوب بود. علاوه بر این، صدای هشدار که باید هنگام استفاده از دوربین پخش می‌شد، می‌توانست به‌طور راه‌دور غیرفعال شود.

Ecovacs از کاربران خواستار ارائه مدرک ویدئویی شد

بعد از حادثه با جاروبرقی خود، سوئنسن شکایتی به شرکت ارسال کرد. پس از یک تبادل مکتوب با کارکنان پشتیبانی، تماس تلفنی از یک کارمند ارشد Ecovacs در آمریکا دریافت کرد که به‌دقت تاکید کرد که سوئنسن باید فیلمی از واقعه داشته باشد. پس از تماس، به او اطلاع داده شد که تحقیق امنیتی انجام شده است.

نماینده شرکت بعداً به او ایمیل کرد و اعلام کرد که فردی ناشناس به حساب کاربری Ecovacs او و رمز عبورش دسترسی پیدا کرده است. ایمیل همچنین ذکر کرد که تیم فنی آی‌پی آدرس مسبب را شناسایی و غیرفعال کرده‌اند تا از دسترسی بیشتر جلوگیری شود.

در ایمیل بعدی، شرکت احتمال زیادی را اعلام کرد که حساب کاربری Ecovacs او تحت حمله سایبری پرکردار بوده، روشی که در آن شخصی از اعتبارنامه‌هایی استفاده مجدد می‌کند که از نفوذ داده‌های دیگری به‌دست آمده‌اند تا به سرویس دیگری وارد شود.

با این‌حال، پژوهشگران امنیت سایبری دنیس گایسه و برايلن لودتکه در دسامبر ۲۰۲۳ فاش کردند که پین لازم برای دسترسی به دوربین می‌تواند دور زده شود. ارائه یافته‌های خود در یک کنفرانس هک، گایسه و لودتکه توضیح دادند که امنیت بر اساس یک ‘سیستم احترام’ بود که در آن کد پین فقط توسط اپلیکیشن و نه سرور چک می‌شد.

آنها قبلاً به Ecovacs هشدار داده بودند پیش از اینکه به‌صورت عمومی این اکسپلویت را فاش کنند. سخنگوی Ecovacs اظهار کرد که نقص برطرف شده است، اما گایسه به ABC News اطلاع داد که راه‌حل شرکت ناکافی بود برای پر کردن شکاف امنیتی.